La Cybersecurity nel nuovo Regolamento Macchine

La pubblicazione, nel giugno 2023, del nuovo Regolamento Macchine Ue 2023/1230 porta in primo piano il tema della cyber security e dell’adozione di protocolli per prevenire e limitare le conseguenze di possibili attacchi informatici.

Il Regolamento, che entrerà in vigore il 20 gennaio 2027, “stabilisce i requisiti di sicurezza e di tutela della salute per la progettazione e costruzione di macchine e prodotti correlati e quasi-macchine” e ne disciplina la messa a disposizione e la messa in servizio all’interno dell’Unione europea (Art. 1, Regolamento Ue 2023/1230).

Oltre agli aspetti tecnici, tra le principali novità riguardanti il campo di applicazione, vi sono:
•    l’integrazione della definizione di “macchina” come insieme al quale manca solo il caricamento del software destinato all’applicazione 
•    l’identificazione di una nuova definizione di “quasi-macchina”, ovvero un insieme che non costituisce ancora una macchina in quanto, da solo, non è in grado di eseguire un'applicazione specifica e che è soltanto destinato a essere incorporato o assemblato ad altre macchine o ad altre quasi-macchine o apparecchi per costituire una macchina.

Le altre novità riguardano aspetti relativi alla sicurezza informatica, in particolare l’introduzione del concetto che questa debba essere una responsabilità condivisa tra fabbricanti di macchine, importatori, distributori e acquirenti. 
La sicurezza informatica acquista un ruolo direttamente ed esplicitamente citato dal nuovo Regolamento in virtù del fatto che oggi le macchine hanno componenti di automazione e di controllo, anche di alto livello, basate su tecnologie informatiche. L’impiego e l’utilizzo di queste ultime, da sole, non è una condizione sufficiente per poter affermare che le macchine siano esposte ai rischi di tipo cyber.

D’altro canto, però, le macchine non si possono considerare “sistemi isolati” dato che lavorano interconnesse con i sistemi gestionali e sono accessibili anche da remoto nel caso in cui fosse necessario effettuare attività diagnostiche, modifiche, aggiornamenti del software. La combinazione della connettività e delle tecnologie informatiche a bordo macchina ha portato alla necessità di richiedere esplicitamente una valutazione del rischio cyber e l’adozione di contromisure adeguate qualora questo non fosse accettabile.

La concreta possibilità che una macchina, e i dati che contiene, possa essere “hackerata conduce a conseguenze dagli impatti potenzialmente negativi: fughe di dati, fermo della produzione ma anche ricadute sulla reputazione aziendale. Alla luce di quanto detto, l’elemento che il nuovo Regolamento Macchine impone di verificare ed affrontare è il rischio connesso ad un attacco cyber con ripercussioni sulla parte di safety, cioè quella relativa alla sicurezza degli operatori e dell’ambiente.

La questione riguarda come sia possibile valutare da una parte il rischio cyber e dall’altra le prestazioni di efficacia delle contromisure di prevenzione e protezione messe in atto al fine di ridurre gli effetti di un eventuale attacco informatico. A questa necessità risponde la IEC 62443, norma tecnica di riferimento che si occupa di OT cyber security. Composta da diverse normative, essa concerne tutti gli aspetti che concorrono a formare la cyber security con un approccio di defense in depth. La IEC 62443 richiede che tutti gli attori coinvolti nella cyber security e nella gestione della sicurezza macchine implementino le seguenti soluzioni: redazione di un security program, valutazione del rischio, implementazione e verifica delle soluzioni tecniche e tecnologiche installate sulla macchina.

Infine, considerato che la tecnologia è in costante evoluzione e aggiornamento, il Regolamento impone che fabbricantI e utilizzatori dei macchinari provvedano a verifiche periodiche del grado di sicurezza degli strumenti e dell’ambiente circostante. Inoltre, affinché tutto proceda correttamente è richiesto che i fabbricanti come gli utilizzatori, ognuno per quanto gli compete, facciano la loro parte. I primi devono adempiere a quanto prescritto dalla normativa e allegare alla macchina i rispettivi manuali d’uso, debitamente compilati. I secondi, una volta acquistate le macchine, sono tenuti a verificare il livello di sicurezza della propria azienda. E questo riguarda sia gli aspetti informatici (software e devices utilizzati) sia quelli fisici (l’ambiente nel quale i macchinari vengono collocati).

Un’attività rilevante che necessita di professionisti esperti e qualificati, come quelli che lavorano in Bureau Veritas. L’azienda verrà quindi accompagnata in un percorso di Valutazione del Rischio e Vulnerability Assessment sugli aspetti di cyber security grazie al quale le sarà possibile valutare ed eventualmente sanare le vulnerabilità del sistema.

I NOSTRI ESPERTI